PROPOSTA DE MEDIDAS A SEREM ADOTADAS PARA PREVENIR, IDENTIFICAR E RECUPERAR, POR MEIO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS, AS ATIVIDADES E INFORMAÇÕES DE UMA CLÍNICA MÉDICA.

Prévia do material em texto

16
UNIVERSIDADE PAULISTA – UNIP EaD 
Projeto Integrado Multidisciplinar
Curso Superior de Tecnologia em Segurança da Informação
PROPOSTA DE MEDIDAS A SEREM ADOTADAS PARA PREVENIR, IDENTIFICAR E RECUPERAR, POR MEIO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS, AS ATIVIDADES E INFORMAÇÕES DE UMA CLÍNICA MÉDICA.
PIM VIII
UNIP 
2021
UNIVERSIDADE PAULISTA – UNIP EaD
Projeto Integrado Multidisciplinar
Curso Superior de Tecnologia em Segurança da Informação
PROPOSTA DE MEDIDAS A SEREM ADOTADAS PARA PREVENIR, IDENTIFICAR E RECUPERAR, POR MEIO DE UM PLANO DE CONTINUIDADE DE NEGÓCIOS, AS ATIVIDADES E INFORMAÇÕES DE UMA CLÍNICA MÉDICA.
PIM VIII
Nome completo do aluno: 
RA: 
Curso: Segurança da Informação
Semestre: 3° semestre
UNIP 
2021
RESUMO
No trabalho será falado sobre riscos que estão presentes nas clinicas médicas, sendo faltado sobre quais necessidade de dados que serão precisos para fazer o prontuário médico e posterior a isso sera dito quais são os riscos presentes, como sequestro de dados, invasões no sistema, ou clickbait que poderão ser acessados pelas recepcionistas, também citarei como é importante medidas mitigatórias para evitar situações que poderão deixar indisponivel o sistema ou mesmo ter dados perdidos, por isso é sempre indicado um curso básico sobre possiveis virus e hackers que estão presente na internet. VPN, Criptografia e Nuvem são aliados de todas as empresas, pois são metodos para ter mais segurança no ambiente virtual. A pericia forense exige metodos para procurar a autoria do ato ilicito, com isso algumas empresas criaram aplicativos que contribuem para isso. Após será falado sobre o PCN, que é o plano de continuidade do negócio, para isso será preciso alguns requisitos para não ficar com sistema indisponivel e assim não causar prejuizos monetários.
Palavras-chave: Clinica. Dados. Riscos. Sistema. Virus.
ABSTRACT
The work will talk about what risks are present in medical clinics, with no need for data that will be needed to make the medical record and, after that, it will be said what are the present risks, such as data hijacking, system intrusions, or clickbait that can be accessed by receptionists, I will also mention how important mitigating measures are to avoid hypotheses that make the system unavailable or even have lost data, so a basic course on possible viruses and hackers that are present on the internet is always recommended. VPN, Encryption and Cloud are allies of all companies, as they are methods to have more security in the virtual environment. Forensic expertise requires methods to look for the authorship of the tort, so some companies have created applications that contribute to this. Afterwards, it will be discussed about the PCN, which is the business continuity plan, for this it will be necessary to have some requirements in order not to have an unavailable system and thus not cause monetary losses.
Keywords: Clinic. Data. Scratchs. System. Virus.
SUMÁRIO
1. INTRODUÇÃO.......................................................................................................05
2. RISCOS À SEGURANÇA DA INFORMAÇÃO NOS AMBIENTES CLÍNICOS….06
3. POSSIVEIS VULNERABILIDADES…………….....................................................06
3.1. Possiveis ataques à clinica médica........................................................07
4. MEDIDAS MITIGATÓRIAS PARA OS RISCOS IDENTIFICADOS……...….........09
4.1 Criptografia dos dados ............................................................................10
4.2 Nuvem.....................................................................................................11
4.3 VPN o que é............................................................................................12
5. PERICIA FORENSE…...........................................................................................13
5.1 Por que a forense computacional é tão importante?...............................13
6. PLANO DE CONTINUIDADE DE NEGOCIO……………………………...…..…….15
 6.1 A estrutura do plano de continuidade de negócios…………………….....16
7. CONCLUSÃO…………………………………………………………………..………..17
8. REFERENCIAS......................................................................................................18
1. INTRODUÇÃO
O trabalho PIM VII tem o intuito de falar sobre os riscos à segurança da informação em ambientes clinicos esclarecendo alguns documentos que poderão ser requisitados ao fazer o prontuário médico e com isso as possiveis vulnerabilidades que poderão ser enfrentadas, como Ransomware, Backdoor, Phishing, Eavesdropping e Shoulder Surfing. Para evitar cair nesses tipos de virus, o mais recomendado é conhecimento, pois para terem acesso precisará de alguma ação, como acessar email desconhecido, links maliciosos entre outros, porém caso aconteça uma invasão um metodo é deixar criptografado os dados, assim evitando terem acesso aos arquivos e dados internos, porém em um caso de roubo de dados, a melhor estratégia é adotar o metodo de armazenamento em nuvem, pois terá disponibilidade sempre que for necessário, basta apenas ter internet para realização do processo. 
Em casos de roubos de dados e informações, há métodos para tentar descobrir a autoria do fato ilicito, como os aplicativos IPED, EnCase, FTK, UFED Touch são aplicativos usados pela Policia Federal do Brasil, FBI, CIA e outras empresas de inteligência ao redor do mundo.
Posterior a isso, sera falado sobre PCN que é (Plano continuado de negócio) falando metodos de seguir apos sofrer ataques, perda de sistema por desastre natural, ou mesmo por erros intencionais.
2. RISCOS À SEGURANÇA DA INFORMAÇÃO NOS AMBIENTES CLÍNICOS
Como qualquer clinica ou empresa do ramo de saude, é necessario a coleta de de uma grande quantia de informação do paciente, entre eles estão, dados pessoais, clinicos, dados de atendimento, históricos familiares entre varios dados importantes que em mãos erradas poderão desde aplicar golpes por telefone, email entre outros.
Nesse contexto, gera uma grande preocupação já existente em todas as areas, que é o armazenamento dos dados, não importa quais, o importante é protege-los de uma forma totalmente segura.
As informações pessoais são para identificaçao do paciente, data de nascimento, nome, CPF, RG entre varios outros. Já no quesito informações clinicas são o historico de consulta, histórico familiar e procedimentos do paciente na instituição, essas informações são estritamente confidencais pelo CFM (conselho federal de medicina 
3. POSSIVEIS VULNERABILIDADES 
	O maior risco de vulnerabilidade está na perda dos arquivos, ou seja por perda dos dados mediante perda do sistema, perda de acesso à nuvem ou mesmo ataque criminoso onde vem a destruir os dados.	
	O principal motivo das ações dos cibercriminoso está na rouba dos dados pessoais, pois as informações contidas possuem um enorme valor no mercado negro. No presente momento, a area da saude é um dos alvos principais para ataque, pois há uma enorme quantidade de dados e informações sigilosas,
3.1 Possiveis ataques à clinica médica
· Ransomware
Esse método consiste com o sequestro de dados do computador, os dados são criptografados impedindo que eles possam ser acessados, para serem liberados, eles cobram uma certa quantia de dinheiro, geralmente pedido em bitcoin ou outra criptomoeda.
Fonte: https://www.kaspersky.com.br/blog/expert-ransomware-tips/6262/
· Backdoor
Backdoor é um tipo de cavalo de tróia, que quando infetar a maquina dará ao cibercriminoso o controle remoto da maquina, assim podendo executar programas, instalar softwares e também enviar e-mails em massa. 
Fonte: https://sempreupdate.com.br/o-que-e-backdoor/
· Phishing
O metodo usado é que o cibercriminoso se passe por uma pessoa ou instituição real para ludibriar a vitima, com isso o phishing pode ocorrer de várias formas, emails falsos, links em sites não confiaveis.
Fonte: https://www.credilink.com.br/os-dez-tipos-de-phishing-mais-comuns/
· Eavesdropping 
Nesse ataque ohacker utiliza diferentes sistemas de email, telefonias, mensagens para violar a confidencialidade da vitima, tendo acesso aos dados da pessoa o individuo armazena sem corrompe-los pondo a venda no futuro ou mesmo expondo na internet para qualquer pessoa ter acesso.
Fonte: https://cyberhoot.com/cybrary/eavesdropping/
· Shoulder Surfing
Significa basicamente “espiar sobre os ombos” enquanto um dos funcionários acessa dados sigilosos no computador da clinica, o individuo visualiza loguins, emails, e outros dados, assim podendo acessar de sua residencia. 
Fonte: https://www.researchgate.net/figure/The-shoulder-surfing-attack-situation_fig1_325534264
4. MEDIDAS MITIGATÓRIAS PARA OS RISCOS IDENTIFICADOS
	Bom método para não contrair nenhum dos virus citados acima é o conhecimento, saber como são contraidos, por email, links estranhos, o conhecimento é a maior arma contra todo tipo de cibercriminoso, para complementar os metodos o maior aliado é um antivirus de qualidade, se caso alguma maquina contraia o virus sendo avisado e excluido no mesmo momento, porém cada dia que se passa os criminosos estão ficando mais limpos, não deixando rastros para antivirus outros três métodos para sancionar esses problemas são criptografia dos dados dos pacientes, uso da nuvem e VPN.
4.1 Criptografia dos dados 
	A criptografia de dados é um método que busca elimintar as chances de terceiros saberem o que tem. Ela é utilizada em comunicações web entre outros para o armazenamento local de informação com baixo risco de serem roubados e acessados. Atualmente a forma mais comum é chamada de criptografia assimétrica, que permite uma comunicação com proteção robusta e conviavel.
	A criptografia em segurança virtual é a troca dos dados em uma formato legivel em um formato codificado, apos isso só podem ser lidos apos descriptografados. 
	A criptografia é um elemento fundamental da segurança dos dados, um método simples e super funcional para que não haja roubo dos dados para fins maliciosos.
Fonte: https://elobackup.com.br/2019/01/09/como-a-criptografia-pode-te-ajudar-na-seguranca-de-dados/
4.2 Nuvem	
	O armazenamento em nuvem já é bastante conhecido por estar no dia a dia como por exemplo: Google Drive, iCloud ou OneDrive, são os mais conhecidos. 
	A nuvem funciona funciona no ato de armazenar os arquivos em um HD fora da sua maquina, podendo até mesmo estar residindo em outro pais. Isso é possivel, pois a nuvem contará com um serviço que comunicará os dispositivos a um data center, data center é um local fisico que possui altissimo nivel de segurança, fisica e digital. 
	Um dos principais pontos positivo da nuvem é a não necessidade de hardware fisico para ter a armazenagem, além disso, a nuvem permite que os arquivos sejam acessados sem contato fisico. 
Porém, o requisito para ter acesso a nuvem onde estiver é a necessidade de internet, assim terá acesso em qualquer lugar. Porem pode ser um empecilho, pois não será todas as áreas que disponibilizará sinal com conexão estavel.
Fonte: https://canaltech.com.br/internet/armazenamento-em-nuvem-o-que-e
4.3 VPN o que é 
	VPN significa “Virtual Private Network” (rede privada virtual) descreve a oportunidade de estabelecer uma conexão segura quando acessar redes publicas. VPN criptografará o trafego de internet disfarçando sua identidade online, com isso, será mais dificil para um terceiro malicioso rastrear e roubar seus dados, a criptografia ocorrerá em tempo real. 
	A VPN funciona ocultando IP fazendo que a rede direcione por meio de um servidor remoto previamente configurado para executar um host VPN, assim o individuo poderá navegar online com a VPN, assim o servidor VPN tornará a fonte dos dados, assim fazendo que o seu provedor de internet e terceiros não possam ver o que você visita ou quais dados recebe online. 
Fonte: https://www.kaspersky.com.br/resource-center/definitions/what-is-a-vpn
5. PERICIA FORENSE
	A computação forense funciona para identificação de infratores, a computadação forense conta com uma pericia especializada com ferramentas especificas, as investigações forenses computacional coletam, preservam e analisam dados, quanto dispositivos móveis ou eletronicos fazendo assim para terem materialidade de um fato como prova em um processo judicial. 
5.1 Por que a forense computacional é tão importante?
	No combate aos crimes digitais, se faz necessário a forense computacional, esse segmento de especialização é conhecido como uma ciencia que estuda aquisição, preservação, recuperação, analise de dados armazenados em midias computadorizadas. Para lidar com os diversos tipos de crimes, os peritos fazem uso de alguns softwares durante a pericia, assim coletando e analisando dados. Abaixo citarei processos mais utilizados no brasil.
· Sistema IPED 
Programa forense desenvolvido no Brasil, para investigação na Operação Lava Jato. Um fato positivo para a Policia Federal foi a diminuição do custo, visto que, anteriormente eram gasto média de R$30 mil por licença de uso por computador. 
O software permite:
1) Recuperação de arquivos deletados
2) Conhecimento de criptografia
3) Localização de palavras
4) Reconhecimento de caracteres
5) Detecção de Nudez
6) Analise integrada das informações contidas nos dispositivos apreendidos.
7) Geração de relatórios
8) Portabilidade diferentes dispositivos
9) Visualização de imagens e vídeos 
10) Alta velocidade de processamento
11) Alta escalavilidade possibilitando processamento em varios computadores
12) Consulta de arquivos duplicados
Com uma interface intuitiva e simples, poderá ser rodado em varios dispositivos, como Windows, Linux e MAC, além de possuir uma alta escabilidade, que possibilita utilizar um numero ilimitado de computadores, além da Multihread e processamento em Bacth, que possibilitará a analise de grandes volumes de dados em qualquer horario e dia da semana. 
Com esse programa será possivel o processamento de mais de milhão de arquivos ao mesmo tempo de até cem dispositivos diferentes e terá disponivel em até um dia apos o processamento.
· Sistema EnCase
Considerado como um dos melhores sistemas do mundo, utilizado pelo FBI, por exemplo. O programa fornecido pela Guidance Software necessita de uma liença paga para ser usada.
1) Realiza investigações completas em dispositivos 
2) Organiza o Banco de dados 
3) Fornece senhas de arquivos criptografados
4) Pesquisa palavras chaves de formas inteligente
5) Fornece relatórios detalhados 
6) Recupera arquivos apagados
7) Analisa hardware e e-mails
8) Padroniza laudos periciais
· Sistema FTK
Um software de facil manuseio disponibilizado pela AccessData, possui versoes gratuitas para uso. 
1) Escaneia o disco rígido para coletar informações
2) Processa e analisa graficos, imagens e documentos
3) Recupera arquivos
4) Cria filtros para selecionar evidencias relevantes
5) Analise rapida e eficiente
· UFED Touch
Um programa criado por uma empresa israelense Cellebrite, o programa é utilizado em mais de 60 paises pelos orgãos de policia, como FBI, CIA e a PF do Brasil, essa tecnologia contribui com as investigações em smartphones apreendidos pela Lava Jato.
Essa tecnologia faz a extração e analise inteligente de todos os dados guardados na memória do telefone, até mesmo dados bloqueados com senhas ou criptografados e também os apagados da memória do dispositivo. 
Tal tecnologia é compativel com mais de 17 mil tipos de dispositivos e diferentes fabricantes.
6. PLANO DE CONTINUIDADE DE NEGOCIO 
	Plano de continuidade de negócios (PCN) é um metodo administrativo que visa a continuidade do funcionamento de uma organização, caso aconteça alguma indisponibilidade prolongada do sistema que fará o funcionamento das operações (equipamentos, instalações, pessoal e informações) caso aconteça algo fora do comum.	
	O PCN é o capacidade de uma empresa se manter ativa após mal funcionamento, seja por desastre natural, acidentes ou mesmo intencionais. O PCN previne e prepara a empresa para quando acontecer e ajude resolver o problema com metodos alternativos o mais rapidopossivel. 
6.1 A estrutura do plano de continuidade de negócios	
· Plano de contingencia: deverá ser utilizado em ultimo caso, quando todas as outras prevenções terem falhado.
· Plano de administração ou gerenciamento de crises: Define responsabilidades e funcoes da requipe envolvida nas ações de contigencia.
· Plano de recuperação de desastres: Consiste em voltar funcionar uma vez controlada a contingencia e passada a crise, fazendo voltar a normalidade.
· Plano de continuidade operacional: O objetivo é estabelecer novamente o funcionamento dos mais importantes ativos que suportam as operações de uma empresa, deixando o menor tempo possivel em 
Fonte: https://gestaodesegurancaprivada.com.br/plano-de-continuidade-de-negocios/
7. CONCLUSÃO
	Concluo mediante esse trabalho o quanto é importante proteção de dados em uma clinica médica, mas o mais importante é como guardar os arquivos, já que um sistema sem proteção é relativamente facil para um cibercriminoso entrar e se aproveitar dos dados, seja apenas espalhando ou vendendo no mercado negro os dados adquiridos, geralmente os dados mais recorrentes em clinicas médicas são: Telefone celular, CPF, RG entre outros dados importantes. 	
	Para uma segurança bem feita dos dados a melhor estratégia é adotar métodos para evitar o furto dos dados atraves de virus, para isso é recomendado uma equipe bem instruida sobre manejo de dados, além de um bom antivirus, para melhor proteção é recomendado a criptografia dos dados guardados, para caso aconteça invasão do sistema os invasores não tenham acesso aos conteudos criptografados.	Quando tiver ocorrencia de furto de dados há metodos para saber autoria dos invasores e também jeitos de recuperar dados, feito por aplicativos usados por policiais na area de inteligencia espalhado pelo mundo, como a CIA, FBI, PF do Brasil.	Concluo que toda empresa deve ter um PCN, que é o (plano continuado de negocio) para suprir qualquer acontecimento que venha ocorrer em caso de ataques, desastres naturais ou mesmo acidentes intencionais. O PCN é estratégia para não parar o negócio em casos de perda de sistema, assim não causando prejuizos para a empresa.
8. REFERÊNCIAS 
BIGOGNO, Matheus. O que é armazenamento em nuvem e como funciona. Canaltech. Disponível em: https://canaltech.com.br/internet/armazenamento-em-nuvem-o-que-e/ Acesso em: 17 nov 2021
CREDILINK. Os dez tipos de pishing mais comuns. Credilink. Disponível em: https://www.credilink.com.br/os-dez-tipos-de-phishing-mais-comuns/ Acesso em: 21 nov 2021
FERNANDES CASTRO, Ronan. Sistema IPED, uma ferramenta de relevância para períria computacional. LinkedIn. Disponível em: https://pt.linkedin.com/pulse/sistema-iped-uma-ferramenta-de-relev%C3%A2ncia-para-ronan-fernandes-castro Acesso em: 23 nov 2021
IPOG. Conhecça as principais ferramentas utilizadas na investigação forense computacional. IPOG blog. Disponível em: https://blog.ipog.edu.br/tecnologia/principais-ferramentas-utilizadas-na-investigacao-forense-computacional/ Acesso em: 22 nov 2021
KASPERSKY. O que é uma VPN e como funciona?. Kaspersky. Disponível em: https://www.kaspersky.com.br/resource-center/definitions/what-is-a-vpn Acesso em: 23 nov 2021 
KASPERSKY. O que é criptografia de dados? Definição e explicação. Kaspersky. Disponível em: https://www.kaspersky.com.br/resource-center/definitions/encryption Acesso em: 17 nov 2021
KATHRIN. Erros e vulnerabilidades na segurança cibernética na área da saúde. Leadcomm. Disponível em: https://leadcomm.com.br/2019/06/18/erros-e-vulnerabilidades-na-seguranca-cibernetica-na-area-da-saude/ Acesso em: 24 nov 2021 
MEZQUITA. Eavesdropping. Cyberhoot. Disponível em: https://cyberhoot.com/cybrary/eavesdropping/ Acesso em: 25 nov 2021
NEGRI, Patrick. O que é criptografia de dados? Como funciona?. Iugu. Disponível em: https://www.iugu.com/blog/o-que-e-criptografia-dados Acesso em: 18 nov 2021
NEGROMONTE, Emanuel. O que é backdoor? Vamos aprender um pouco?. Sempreupdate. Disponível em: https://sempreupdate.com.br/o-que-e-backdoor/ Acesso em: 19 nov 2021
OLIVEIRA, Wallace. Plano de continuidade de negócios garante o funcionamento das empresas em emergências. Venki. Disponivel em: https://www.venki.com.br/blog/plano-de-continuidade-de-negocios/ Acesso em: 24 nov 2021
SÉRGIO MARCONDES, José. Plano de continuidade de negócios (PCN): O que é? Conceitos. Disponível em: https://gestaodesegurancaprivada.com.br/plano-de-continuidade-de-negocios/ Acesso em: 20 nov 2021 
SOARES, Fernando. Como garantir a segurança da informação na saúde. Cmtecnologia. Disponível em: https://blog.cmtecnologia.com.br/garantir-seguranca-informacao/ Acesso em: 25 nov 2021
UNYLEYA. Conheça os 10 principais ataques ciberneticos da atualidade. Blog Unyleya. Disponível em: https://blog.unyleya.edu.br/bitbyte/ataques-ciberneticos/ Acesso em: 20 nov 2021